根据思科Talos的最新研究,指纹认证通常仅对普通用户有效,但对于身份更为重要的用户或包含敏感数据的设备而言,指纹认证并没有用。
在4月8日发布的博客文章《指纹克隆:神话还是现实?》中,思科Talos研究员Paul Rascagneres以及技术主管兼安全研究员Vitor Ventura得出结论,“3D打印技术可以欺骗电话和计算机指纹扫描仪。”他们收集了真实人物的真实指纹-包括臭名昭著的黑帮成员Al Capone,然后用3D打印机创建了指纹模具。
根据这项研究现实,在使用假指纹的过程中,Rascagneres和Ventura的平均成功率约为80%。在视网膜扫描和面部识别技术之前,指纹扫描是最常见的生物识别方式。
Ventura说:“我们想看看指纹认证是否安全。”
通过利用Rascagneres作为3D艺术家的特长,这两位研究人员测试了不同品牌和设备模型,并开发了与实际情况相匹配的威胁模型。
Rascagneres说:“随着最近生物特征信息的泄漏以及3D打印技术的进步,以及指纹认证的大量使用,我们想知道创建伪造指纹的难度有多大。我们有两个主要目标:尽可能接近现实世界的体验,并与世界分享我们的过程,并说明在低预算的情况下完成这项工作的难度。”
研究人员在博客中写道,他们以“预算限制为前提,看看这是否可以在低预算情况下完成,还是需要由国家资助的参与者完成。”
Rascagneres说:“在我们的预算情况下,这很耗时。每次尝试都需要花费数小时。而资金雄厚的攻击者可以获得更好更昂贵的打印设备,例如医疗设备。通过更大的预算,我们认为这个过程将得到改善和更加准确。”
在进行研究时,他们发现他们的3D打印方法无法攻破Windows Hello生物特征认证。
Rascagneres说:“我们认为微软算法更严格。指纹认证需要控制指纹上的多个点,我们认为Microsoft Windows比其他设备需要验证更多的点。”
该博客还提到了苹果公司,并指出“除了苹果以外,大多数传感器都是由第三方开发的”,这是一个优势。
Rascagneres说:“从实现的角度来看,更容易成为整个协议栈的所有者。”
这并不是研究人员第一次质疑生物识别认证的有效性。例如,2018年,纽约大学丹顿分校和密歇根州立大学的研究人员开发了DeepMasterPrints,这是AI生成的伪造指纹图像,可能蒙骗生物识别传感器。
而在两年后, Rascagneres和Ventura发现,指纹技术仍未发展到足以应对所有提议的威胁模型。
现在,攻击者可以从由机器学习生成的高级攻击(例如DeepMasterPrints)转移到低级的廉价的打印攻击。
Rascagneres和Ventura在博客中写道:“3-D打印技术使任何人都可以创建伪造的指纹。不仅如此,还可以利用适当的资源大规模地进行伪造。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号

TechTarget
官方微博

TechTarget中国
翻译
相关推荐
-
利用现有技术实现零信任安全
零信任是每个CIO和CISO的重点工作,零信任主要是为了克服当今现代IT领域中传统安全方法带来的挑战。根据Cy […]
-
Mega密码重置阻止Black Kingdom勒索软件
在最近针对Microsoft Exchange服务器的ProxyLogon攻击中,研究人员发现Black Ki […]
-
对于5G,安全设计必不可少
近几个月来,美国5G带宽可用性已显著扩展和加速,为早期部署者提供技术、财务和其他竞争优势。5G的较低延迟性和带 […]
-
安全团队如何为高级持续威胁做好准备
当企业CISO和安全团队为2021年及以后制定防御策略时,高级持续威胁(APT)是重要讨论部分,因为与过去相比 […]